因此,在SSL / https的世界中,您可以将新的静态公共IP地址绑定到防火墙Internet接口,然后使用一个SSL服务(如https://站点 ,Outlook Anywhere或类似RDP over RCP over HTTPS)公共IP地址 – 如使用多个IP地址使用主机标头/别名通常不可能…
但是,在我的这个实验室里,我只能获得dynamic的公共IP地址。 启用多个SSL服务是有点问题,但我一定会尝试^^
我看到两个可能性(如果有的话):
以某种方式获得防火墙接口(现在运行Windows 2003和ISA 2006)使用DHCP请求并绑定多个公共IP地址。 某种欺骗与桥接,MAC欺骗或获得分配给同一个逻辑防火墙接口的多个地址? 只是添加另一个网卡是不幸的,因为ISA不会有多个外部逻辑接口(但它可以有任何数目的(通常是静态的)IP地址)。
与ISA(具有通配符证书)使用一些巧妙的技巧将不同主机名的传入SSL请求拼接到不同的内部SSL服务。 我记得这是一个新的互联网function,没有得到广泛的支持,使用SSLstream量的主机头检查。 但是,ISA应该能够在本地终止任何SSL连接,然后将它们连接到内部服务 – 即使使用旧学校标准,它也不应该能够检查主机标头并做一些有用的事情吗?
到目前为止,我没有想到一个好的解决scheme,除了试图说服ISP出售一些静态租约,或者放弃并为每个SSL服务设置另一个单独的ISA之外,还有一个好的解决scheme。 在生产站点,这不是问题,只需根据需要将外部防火墙接口的数量添加到外部防火墙接口。
我全心全意的想法 – 也许我只是忽略了一些非常明显的东西^^
简单而明显的处理:为每个服务使用不同的端口!